馮 明，陳 倩

（天津易通易聯(lián)科技有限公司，天津300000）

1 系統(tǒng)的業(yè)務(wù)需求

隨著信息化進(jìn)程的不斷深入，安全往往是由內(nèi)而外、逐層遞進(jìn)，如何在成功建立了資產(chǎn)管理運(yùn)行機(jī)制的基礎(chǔ)上，全面實(shí)現(xiàn)終端接入的流程化、標(biāo)準(zhǔn)化和規(guī)范化，在從終端至入網(wǎng)之前就確保其安全性、擴(kuò)容量與可信度，從而提升網(wǎng)絡(luò)整體安全，即已成為企業(yè)亟待探討攻關(guān)的重要問題。本文提供的設(shè)計(jì)方案將可為用戶從根本上解決終端多、信息亂、接入隨意、查找困難等管理問題，并為用戶構(gòu)建全網(wǎng)終端接入全生命周期的可視、可管、可查看的5W審計(jì)平臺(tái)。

2 系統(tǒng)設(shè)計(jì)方案

2.1 產(chǎn)品部署

如圖1所示，在架構(gòu)復(fù)雜的網(wǎng)絡(luò)環(huán)境下，本文采取的是雙機(jī)熱備部署方案，分別旁路部署在總部主備核心交換機(jī)，推薦與現(xiàn)有網(wǎng)絡(luò)環(huán)境無縫接合的技術(shù)方案，完全遵循在不修改現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)及配置的情況下完成部署。

圖1 系統(tǒng)的整體設(shè)計(jì)架構(gòu)Fig.1 Overall design architecture of the system

2.2 入網(wǎng)流程

產(chǎn)品部署后，工作人員擬將遵循的入網(wǎng)流程即如圖2所示。

圖2 入網(wǎng)工作的的設(shè)計(jì)流程Fig.2 Design process for network access work

2.3 系統(tǒng)設(shè)計(jì)

（1）自動(dòng)化資產(chǎn)統(tǒng)計(jì)。純旁路部署到客戶網(wǎng)絡(luò)后，在不開啟任何準(zhǔn)入策略的情況下，即可實(shí)現(xiàn)全網(wǎng)資源的統(tǒng)計(jì)，統(tǒng)計(jì)信息包含：IP-MAC-VLAN-主機(jī)名-終端類型-交換機(jī)-端口-操作系統(tǒng)-瀏覽器-分辨率等等。協(xié)助用戶建立全網(wǎng)資源統(tǒng)計(jì)平臺(tái)，其次，協(xié)助用戶自動(dòng)分類網(wǎng)內(nèi)資源的終端類型，建立全網(wǎng)泛終端的統(tǒng)一展示及管理平臺(tái)。

（2）終端快速定位。通過SNMP簡單可網(wǎng)管協(xié)議，建立與交換機(jī)網(wǎng)絡(luò)設(shè)備的聯(lián)動(dòng)，自動(dòng)創(chuàng)建終端與交換機(jī)端口對(duì)應(yīng)關(guān)系，從而實(shí)現(xiàn)了終端快速定位平臺(tái)。

（3）自動(dòng)化用戶信息搜集的管理手段。對(duì)于自動(dòng)化提取的研究來說，需建立流程化、規(guī)范化、標(biāo)準(zhǔn)化的終端接入管控平臺(tái)。準(zhǔn)入是主要的技術(shù)手段，通過強(qiáng)制隔離，友好portal引導(dǎo)，建立實(shí)名制ID管理。PC（移動(dòng)終端）新接入網(wǎng)絡(luò)，默認(rèn)無法與網(wǎng)內(nèi)通信，打開Web頁面自動(dòng)portal引導(dǎo)頁面，管理員可指定一次性入網(wǎng)登記、審批的流程，建立終端自動(dòng)化臺(tái)賬管理，實(shí)現(xiàn)接入可信。其次，管理員也可定義入網(wǎng)終端輸入用戶名密碼認(rèn)證方式自動(dòng)化接入流程，建立動(dòng)態(tài)的終端接入檔案，動(dòng)態(tài)的人機(jī)對(duì)應(yīng)關(guān)系。

（4）多元素綁定。在對(duì)信息進(jìn)行自動(dòng)統(tǒng)計(jì)的基礎(chǔ)上，支持多元素綁定，如IP-MAC-VLAN-主機(jī)名-交換機(jī)-端口-使用人等信息的綁定。當(dāng)其中任意參數(shù)發(fā)生變化，則將其阻斷，并采取強(qiáng)制隔離的技術(shù)手段，使得管理難度降低，并具有可視性。

（5）增值方案-網(wǎng)絡(luò)邊界威脅感知。在統(tǒng)計(jì)數(shù)據(jù)的基礎(chǔ)上，可以協(xié)助用戶構(gòu)建網(wǎng)絡(luò)邊界威脅感知平臺(tái)，自動(dòng)發(fā)現(xiàn)、告警、定位和阻斷網(wǎng)絡(luò)內(nèi)部未準(zhǔn)入的小路由、wireless AP、便攜式WIFI等。及時(shí)感知和定位網(wǎng)絡(luò)內(nèi)部的IP地址沖突、廣播風(fēng)暴等潛在的安全隱患，并于必要時(shí)進(jìn)行主動(dòng)報(bào)警。

（6）增值方案-IP地址管理。除安全功能以外，還集成了運(yùn)維方面的功能，即IP地址管理平臺(tái)，協(xié)助用戶建立IP地址自動(dòng)統(tǒng)計(jì)、自動(dòng)回收、自動(dòng)下發(fā)的全自動(dòng)平臺(tái)，并且可以完全替換人工Excel表格的統(tǒng)計(jì)方式，結(jié)合準(zhǔn)入功能，建立IP-MAC-使用人-VLAN-交換機(jī)端口的自動(dòng)登記平臺(tái)，為用戶提供追溯還原審計(jì)平臺(tái)。

3 結(jié)束語

網(wǎng)絡(luò)準(zhǔn)入管理系統(tǒng)可為用戶完美解決現(xiàn)有需求，為后期的發(fā)展趨勢(shì)提供前瞻性解決方案。本系統(tǒng)采用純旁路部署，可以在保持客戶的原有網(wǎng)絡(luò)架構(gòu)以及原有配置的基礎(chǔ)上，對(duì)系統(tǒng)網(wǎng)絡(luò)不產(chǎn)生任何影響；具備靈活可混合式的準(zhǔn)入技術(shù)，可以有效適應(yīng)各種網(wǎng)絡(luò)環(huán)境并且不完全依賴于網(wǎng)絡(luò)環(huán)境；系統(tǒng)采用的是無客戶端部署模式；擁有多級(jí)指紋綁定機(jī)制，智能鑒別仿冒終端；提供特色的終端類型識(shí)別功能，實(shí)現(xiàn)網(wǎng)絡(luò)層準(zhǔn)入管理，為用戶打造智能、可視、易用的網(wǎng)絡(luò)邊界管理平臺(tái)。